除去這次攻擊，截止到7月底，與DeFi相關(guān)的黑客事件就已經(jīng)讓用戶們損失了近3.6億美金。據(jù)有關(guān)數(shù)據(jù)顯示，從年初至今發(fā)生了近40起DeFi被盜事件，損失金額近10億美金（不算黑客歸還）。

沒有人可以完全預(yù)測(cè)已部署的智能合約會(huì)發(fā)生什么，即使是最好的安全審計(jì)師。由于智能合約上有數(shù)十億美元的資金，所以可以肯定的是，最聰明的黑客仍在不斷尋找利用安全弱點(diǎn)從中獲利。

DeFi的巨大風(fēng)險(xiǎn)在于，DeFi應(yīng)用本身的創(chuàng)新性和復(fù)雜性，使安全審計(jì)人員很難發(fā)現(xiàn)存在的漏洞。DeFi應(yīng)用程序開發(fā)人員必須確保網(wǎng)絡(luò)安全審計(jì)人員不斷檢查他們的代碼，以減少任何漏洞被利用的可能性，否則一旦攻擊成功，將導(dǎo)致巨大的經(jīng)濟(jì)損失。

從DeFi概念出現(xiàn)至今，DeFi遭受過無數(shù)大大小小的攻擊。其中，有兩種攻擊手法最為常用，閃電貸攻擊和RugPull（拉地毯）。

所謂閃電貸（Flashloan），其實(shí)是一種創(chuàng)新金融工具，甚至可以稱得上是智能合約上的一個(gè)偉大創(chuàng)新。用戶可以在不需要任何抵押借款的情況下，只需付出極小的手續(xù)費(fèi)就能得到巨額資金，前提是要在同一個(gè)區(qū)塊內(nèi)還款，否則交易回滾。

在此類攻擊手法中，黑客只是利用了閃電貸的特點(diǎn)，在短時(shí)間內(nèi)借出資金、交易、然后存入并再次借出大量的資金，這樣黑客就能在實(shí)現(xiàn)操縱、扭曲特定的加密貨幣價(jià)格數(shù)據(jù)后，實(shí)施套利，最后歸還“本金”。

比如在今年2月，攻擊者就針對(duì)DeFi借貸協(xié)議AlphaHomora發(fā)起閃電貸攻擊，導(dǎo)致3,750萬美元被盜。在一個(gè)AlphaHomoraV2池中，攻擊者操控了數(shù)百萬枚穩(wěn)定幣，使其價(jià)值膨脹，最終完成套利。

RugPull（拉地毯）指的是加密貨幣領(lǐng)域中的一種惡意操縱，DeFi項(xiàng)目開發(fā)人員毫無征兆地放棄該項(xiàng)目并帶著投資者的錢跑路，RugPull多發(fā)生于DEX（去中心化交易所），是DeFi領(lǐng)域較為典型的騙局。騙子們會(huì)在流動(dòng)性池中投入大量的資金，并在社交媒體上發(fā)布誘人的廣告吸引投資者入局，一旦投資者將代幣存入這些流動(dòng)性池中，騙子就會(huì)“抽地毯般”地把池子里的代幣全部提走。

比如在今年5月，基于幣安智能鏈（BSC）上的DeFi協(xié)議DeFi100項(xiàng)目運(yùn)營(yíng)者已經(jīng)卷跑了大約有3200萬美元的用戶資金。其官方網(wǎng)站已經(jīng)無法訪問，在網(wǎng)站關(guān)閉之前，DeFi100官方網(wǎng)站上還出現(xiàn)“我們騙了你們，你們拿我們沒辦法”的字樣，該頁面隨后被刪除。

一路高歌的DeFi市場(chǎng)因PolyNetwork攻擊事件使我們知道，DeFi還處在初級(jí)階段，各種技術(shù)還待成熟。黑客攻擊無法避免，對(duì)于后續(xù)準(zhǔn)備繼續(xù)上線跨鏈項(xiàng)目的項(xiàng)目方而言，恐怕現(xiàn)在最好的準(zhǔn)備方式就是加強(qiáng)項(xiàng)目安全審計(jì)和反復(fù)的壓力測(cè)試了。